Cero confianza en el proveedor de energía: lo que ahora revelan las auditorías de NIS2
El **BSI** iniciará en el verano de 2026 las primeras auditorías **NIS2** en proveedores críticos de suministro energético (**KRITIS**). Leer el artículo
DORA y NIS2: Por qué las auditorías bancarias ahora chocan
DORA y NIS2 se entrelazan, los caminos de auditoría corren en paralelo. Tres realidades por las que los bancos se equivocan al implementarlos doblemente. Leer el artículo
MFA adaptativa: la configuración de fábrica no es suficiente
La autenticación multifactor (MFA) adaptativa suele estar activada, pero no configurada: cómo la autenticación basada en riesgos protege de verdad más… Leer el artículo
Donde la pequeña y mediana empresa todavía está técnicamente rezagada en NIS2
Comprobación NIS2 para las empresas de tamaño medio: cinco brechas técnicas que llaman la atención en la auditoría y cómo se pueden cerrar antes de la… Leer el artículo
Ivanti Connect Secure nuevamente en la CISA KEV: Tercer incidente en 18 meses
CISA ha incluido una nueva vulnerabilidad de Ivanti Connect Secure en la KEV. Mandiant informa de explotación activa en redes de infraestructuras… Leer el artículo
AI-Phishing: Los filtros de correo se vuelven ciegos.
El AI‑phishing elude los filtros de correo clásicos como Gmail, SpamAssassin y Proofpoint. Leer el artículo
La puerta trasera en casi todos los contratos de hosting alemán
Una vulnerabilidad crítica en la interfaz de hosting más utilizada entre las medianas empresas permite a los atacantes obtener acceso completo sin… Leer el artículo
Fugas de código fuente: Los atacantes conocen al proveedor de seguridad antes del parche
8 Min. Tiempo de lectura Trellix, Okta, LastPass – tres proveedores de seguridad, tres brechas en el código fuente, un patrón. Los atacantes comprometen de forma selectiva a los proveedores... Leer el artículo
Un push de Git es suficiente para RCE en servidores empresariales de GitHub
CVE-2026-3854 (CVSS 8.7): Ejecte remota en GitHub Enterprise mediante git push. El 88% de las instancias autoalojadas no están parcheadas. Leer el artículo
Bitwarden CLI: Ataque a la cadena de suministro a través de GitHub Actions
Bitwarden-CLI 22.04.2026: La acción de GitHub checkmarx/ast-github-action es la palanca. Leer el artículo
500.000 datos de pacientes en 96 horas: Informe de incidente anónimo de un grupo de clínicas DACH
Abril 2026: Oleada de brechas en atención sanitaria. Informe de incidente anónimo de DACH con 500k datos de pacientes, reconstrucción en 96h, obligaciones NIS2/DSGVO. Leer el artículo
PaperCut NG/MF bajo ataque activo: Por qué un error de 2023 vuelve al CISA-KEV un año después
PaperCut NG/MF ha estado de vuelta en el CISA-KEV desde el 20 de abril de 2026. CVE-2023-27351 está siendo explotado activamente. Barrido de inventario de 72 horas y medidas de endurecimiento para equipos de seguridad. Leer el artículo
Infostealer 2026: Por qué los cookies de sesión robados anulan la MFA
RedLine, Lumma, Raccoon: el malware Infostealer roba cookies de sesión y evade la autenticación multifactor. ¿Qué realmente ayudará en 2026? Leer el artículo
Los certificados de Secure Boot caducan en junio de 2026: qué deben implementar los equipos de TI antes de la fecha límite para su flota de Windows
A partir de junio de 2026, los certificados de Microsoft Secure Boot emitidos en 2011 perderán su validez. Los equipos de TI tienen dos meses para realizar un inventario y desplegar actualizaciones. Leer el artículo
Cyber Resilience Act desde el 11 de septiembre de 2026: La obligación de notificación de 24 horas, para la que los equipos de seguridad IT deben establecer procesos ahora
Desde el 11.09.2026 aplica la obligación de notificación del CRA: alerta temprana en 24h, notificación completa en 72h, informe final en 14 días. Lo que los equipos de seguridad deben establecer ahora. Leer el artículo
Claude Mythos: Evaluación de la situación para Equipos de Seguridad
Anthropic ha creado un modelo de IA que detecta vulnerabilidades más rápido que la mayoría de los equipos de seguridad. Claude Mythos descubrió un error de 27 años en OpenBSD y varias rutas de escalada de privilegios en el kernel de Linux. La evaluación de la situación. Leer el artículo
Autenticación de correo electrónico: cómo configurar SPF, DKIM y DMARC correctamente
Gmail rechaza correos sin DMARC. Cómo configurar SPF, DKIM y DMARC correctamente en 5 días. Leer el artículo
Criptografía poscuántica: por qué las empresas deben migrar su cifrado ahora
El NIST ha finalizado tres estándares poscuánticos. Plazo BSI 2030/2032. Por qué la migración PQC debe comenzar ahora. Leer el artículo
Inteligencia artificial local como estrategia de seguridad: qué significa Gemma 4 para la protección de datos según el RGPD
Con Gemma 4, se puede ejecutar la IA por primera vez en calidad lista para producción completamente On-Premise. ¿Qué significa esto para los equipos de Security. Leer el artículo
Mapas de origen en el paquete NPM: cómo Anthropic expuso 512.000 líneas de código de producción
7 min de lectura Una regla de exclusión ausente en la canalización de construcción expuso el 31 de marzo de 2026 todo el código de producción de Claude Code de... Leer el artículo
Mapas de origen en el paquete NPM: cómo Anthropic expuso 512.000 líneas de código de producción
7 min. de lectura Una regla de exclusión ausente en la canalización de construcción expuso el 31 de marzo de 2026 todo el código de producción de Claude Code de... Leer el artículo
